Метод OCTAVE
Что такое Метод OCTAVE?
Метод OCTAVEМетодология оценки рисков информационной безопасности, разработанная Институтом программной инженерии CMU и сфокусированная на организационных и операционных рисках критичных активов.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) — семейство методологий оценки рисков, созданное Software Engineering Institute (CERT) Университета Карнеги — Меллон. В него входят оригинальный OCTAVE для крупных организаций, OCTAVE-S для малых и OCTAVE Allegro — упрощённая современная версия с фокусом на информационные активы. OCTAVE ориентирован на активы: организация в формате управляемых самостоятельно воркшопов выделяет ключевые активы, сценарии угроз, зоны риска и стратегии защиты. В отличие от сугубо количественных подходов, OCTAVE качественен и подчёркивает бизнес-контекст, владельцев и риск-аппетит. В регулируемых отраслях его часто сочетают с NIST SP 800-30 и ISO 27005.
● Примеры
- 01
Больница проводит воркшоп OCTAVE Allegro по системе электронных медицинских карт для построения плана обработки рисков.
- 02
Использование OCTAVE-S для оценки риска небольшого производителя с ограниченной командой безопасности.
● Частые вопросы
Что такое Метод OCTAVE?
Методология оценки рисков информационной безопасности, разработанная Институтом программной инженерии CMU и сфокусированная на организационных и операционных рисках критичных активов. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Метод OCTAVE?
Методология оценки рисков информационной безопасности, разработанная Институтом программной инженерии CMU и сфокусированная на организационных и операционных рисках критичных активов.
Как работает Метод OCTAVE?
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) — семейство методологий оценки рисков, созданное Software Engineering Institute (CERT) Университета Карнеги — Меллон. В него входят оригинальный OCTAVE для крупных организаций, OCTAVE-S для малых и OCTAVE Allegro — упрощённая современная версия с фокусом на информационные активы. OCTAVE ориентирован на активы: организация в формате управляемых самостоятельно воркшопов выделяет ключевые активы, сценарии угроз, зоны риска и стратегии защиты. В отличие от сугубо количественных подходов, OCTAVE качественен и подчёркивает бизнес-контекст, владельцев и риск-аппетит. В регулируемых отраслях его часто сочетают с NIST SP 800-30 и ISO 27005.
Как защититься от Метод OCTAVE?
Защита от Метод OCTAVE обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Метод OCTAVE?
Распространённые альтернативные названия: OCTAVE, OCTAVE Allegro.
● Связанные термины
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- appsec№ 1150
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
- compliance№ 801
Модель угроз PASTA
Process for Attack Simulation and Threat Analysis — риск-ориентированная семиэтапная методология моделирования угроз, связывающая технические угрозы с бизнес-последствиями.
- defense-ops№ 136
BIA (анализ влияния на бизнес)
Структурированный анализ, выявляющий критичные бизнес-процессы, их зависимости и операционное, финансовое и репутационное влияние их остановки.